Thought Leadership
Die seit Oktober 2025 aktive Erpressungsgruppe FulcrumSec gibt an, monatelang in den Systemen des Pharmariesen Novo Nordisk präsent gewesen zu sein und dabei über ein Terabyte sensibler Daten abgezogen zu haben. Das geforderte Lösegeld zahlte Novo Nordisk nicht.
Beim dänischen Pharmaunternehmen Novo Nordisk soll es zu einem erheblichen Datenleck gekommen sein, wie Reuters berichtet. Die Cybererpressungsgruppe FulcrumSec behauptet, sich ab März dieses Jahres Zugang zu internen Systemen des Unternehmens verschafft und dabei mehr als 1,3 Terabyte Daten kopiert zu haben. Das entspricht nach eigenen Angaben der Gruppe über 700.000 Dateien.
Was gestohlen wurde
Der Umfang des behaupteten Datenabflusses ist beträchtlich. FulcrumSec nennt unter anderem Quellcode, Informationen zu bereits zugelassenen und noch nicht auf dem Markt befindlichen Medikamenten, Daten aus klinischen Studien sowie interne KI-Modelle. Hinzu kommen Daten von Mitarbeitern, Ärzten und Patienten sowie Informationen zur Produktionsinfrastruktur des Unternehmens. Die Echtheit der Daten ließ sich bislang nicht unabhängig überprüfen.
Novo Nordisk bestätigte Vorfall bereits früher
Das Unternehmen hatte am 11. Juni in einer knappen Mitteilung eingeräumt, dass Unbefugte auf eine begrenzte Anzahl interner IT-Systeme zugegriffen hätten, darunter auch auf personenbezogene Daten. Auf die Behauptungen von FulcrumSec angesprochen teilte ein Unternehmenssprecher mit, man nehme die Sache ernst, die wichtigsten Plattformen seien weiterhin in Betrieb und die zuständigen Behörden seien eingeschaltet.
25 Millionen Dollar gefordert, nichts bekommen
Laut FulcrumSec nahm Novo Nordisk am 3. Juni Kontakt zur Gruppe auf, nachdem diese zuvor unternehmensinterne E-Mail-Adressen angeschrieben hatte. Die Kommunikation lief über einen Proton-Mail-Account. Novo Nordisk habe sich dabei durch die Anforderung spezifischer Dateien als legitimer Gesprächspartner ausgewiesen. Eine Einigung kam jedoch nicht zustande: Das geforderte Lösegeld von 25 Millionen US-Dollar blieb unbezahlt. Erst kürzlich hatte ein Rüstungsunternehmen ein solches Erpressungsgeld bezahlt.
Seitdem prüft die Gruppe nach eigenen Angaben, Teile der Daten privat zu verkaufen, etwa Informationen zu bestimmten Medikamenten. Grundsätzlich bevorzuge man jedoch eine Veröffentlichung, weil diese als Abschreckung für andere Unternehmen wirksamer sei.
Gruppe hält teils Daten zurück
FulcrumSec gibt an, bestimmte Datensätze bewusst nicht weiterzugeben. Dazu zählen Daten von tausenden Mitarbeitern und Ärzten, pseudonymisierte Informationen von rund 11.500 Studienteilnehmern sowie technische Daten zur Steuerung von Maschinen und Sensoren in den Produktionsstätten. Die Gruppe nennt das eine Strategie zur Schadensbegrenzung.
Novo Nordisk ist vor allem bekannt für seine Diabetes- und Adipositas-Medikamente Ozempic und Wegovy.
(red)
